-
Junior Member
- Вес репутации
- 59
win32.hllm.beagle.212
Не могу сделать по "правилам", т.к. он блокирует работу(100% заргузка процессора) позже перезагружает комп. При попытке заугрядиться в бедопасном режиме - перегружает комп. Загрузился с CD, скачал последний CureIt им и нашел этот вирус. CureIt почистил, но после загрузки то же самое. Видел где-то в теме, что можно с помощью IceSword его отключить при загрузке и дальше почистить. Скачиваю IceSword, а он не рабочий. Штук 5 разных выкачал, ни один архив не распаковался - CRC error.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Виндоус у Вас на C: в стандартной папке Windows установлен?
-
-
Junior Member
- Вес репутации
- 59
-
Отключите восстановление системы, как написано в правилах (если еще не отключили). Очистите кеш интернета.
Скачайте Avenger отсюда: http://swandog46.geekstogo.com/avenger2/download.php
Переименуйте программу в football.pif
Запустите программу, вставьте в окно Avenger "Input script here:" следующий скрипт и запустите (кнопка "Execute"):
Код:
Comment:
Script to delete the Bagle worm
Drivers to disable:
srosa
Files to delete:
C:\windows\system32\drivers\srosa.sys
C:\windows\system32\drivers\hldrrr.exe
C:\windows\system32\wintems.exe
C:\windows\system32\mdelk.exe
C:\windows\system32\drivers\mdelk.exe
Folders to delete:
C:\WINDOWS\system32\drivers\down
C:\WINDOWS\system32\drivers\downld
Компьютер перезагрузится (возможно 2 раза).
Прикрепите лог Avenger (если С - диск, на котором установлена система, то лог будет здесь: C:\avenger.txt )
-
-
Junior Member
- Вес репутации
- 59
Скачал, пытаюсь распаковать архив получаю crc error (это все на другой машине).
-
Скачайте отсюда http://www.megaupload.com/ru/?d=OUCJ5J9F и попробуйте (он уже распакован и переименован в football.pif ).
Последний раз редактировалось kps; 29.04.2008 в 19:22.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
kps
киньте, пожалуйста, на graham rambler ru. Ни с одного файлообменника нет доступа для скачивания
-
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
kps
Отправил, пришло?
пришло, получил.
запускаю для проверки на здоровом компе, получаю следующею ошибку
"Инструкция по адреса 0x7c913396" обратилась к памяти по адресу 0xb77d4cef. Память не может быть "read"."
-
Что-то я сомневаюсь, что этот комп здоровый
Если есть возможность - загрузитесь с установочного диска Windows и зайдите в Консоль Восстановления либо загрузитесь с LiveCD, Bart PE или др. загрузочного диска, найдите и удалите, если есть, следующие файлы:
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe
windows\system32\drivers\mdelk.exe
После этого скачайте заново AVZ, попробуйте запустить AVZ и сделать логи.
-
-
Junior Member
- Вес репутации
- 59
Почистил кэш, отключил восстановление винды и почистил папки system voluem information на каждом разделе. Это все делал после загрузки с LiveCD. После этого запустил CureIt, он удалил
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe
windows\system32\drivers\mdelk.exe
Перезагружаюсь, с винта. Снова тормозит. Загружаюсь с LiveCD, проверяюсь CureIt
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
снова на месте.
-
Попробуйте, загрузившишь с LiveCD, удалить эти файлы
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\wintems.exe
windows\system32\mdelk.exe
windows\system32\drivers\mdelk.exe
сами (без CureIt!).
-
-
Junior Member
- Вес репутации
- 59
После CureIT перезагрузился с LiveCD, проверил на наличие этих файлов - их нет. Сейчас попробую загрузиться и запустить AVZ.
Добавлено через 6 минут
Загрузился с винта, запустил переименованный AVZ. Только залез в скрипты, выскочила ошибка и AVZ закрылся вместе с диалогом ошибки, больше не запускается. Попробовал запустить AVZ с компакта, не запускается.
Добавлено через 5 минут
Снова загрузился с LiveCD, нашел и удалил:
windows\system32\drivers\srosa.sys
windows\system32\drivers\hldrrr.exe
windows\system32\drivers\mdelk.exe
Этих нет:
windows\system32\wintems.exe
windows\system32\mdelk.exe
Последний раз редактировалось graham; 29.04.2008 в 20:18.
Причина: Добавлено
-
Пробовали после этого скачать заново AVZ и запустить?
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
kps
Пробовали после этого скачать заново AVZ и запустить?
Скачать из интернета на зараженной машине c Beagle? Нет не пробовал, после загрузки начинается скачивание чего-то из интернета поэтому в интернете на другой машине.
Пробовал загрузиться с винта, скопировать с компакта AVZ. При компировании выскакивает ошибка записи. Перезагрузился с LiveCD, файлы перечисленные выше, снова на месте. Удалил. Скопировал AVZ с компакта, запустил под LiveCD - нормально. Переименовал avz.exe, загрузился с винта. Запустил переименованный AVZ, только залез в скрипты, получил ошибку о том, что не может найти scripts.avz. Попробовал запустить переименованный hijackthis, он свернулся после соглашения.
Объясните, пожалуйста, может я не понимаю. Удалялись эти файлы, запрещалось обновление и чистились временные файлы браузеров, для того чтобы вирус не мог восстановиться? Раз он восстанавливается, то либо он де-то еще, либо я что-то не доделал? Восстановление убрано 100%, файлы чищу тоже. Зарязился я не через браузер, а после запуска exe, его архив я не удалял, лежит в укромном месте.
-
Сообщение от
graham
Объясните, пожалуйста, может я не понимаю. Удалялись эти файлы, запрещалось обновление и чистились временные файлы браузеров, для того чтобы вирус не мог восстановиться? Раз он восстанавливается, то либо он де-то еще, либо я что-то не доделал? Восстановление убрано 100%, файлы чищу тоже.
начнем с того что действуем мы наощупь - без логов , мы подозревали наличие бигля и так действительно оказалось , но возможно что это какаея- то новая модификация или вы не удалили все указанные файлы ...
настоятельно рекомендую запустить авенжер и выполнить скрипт на машине с биглем .... у вашей "здоровой" похоже своих проблем хватает ...
-
-
Junior Member
- Вес репутации
- 59
скачал занво avenger на "здоровой" машине, записал на флэшку. запуск экзэшника из архива после загрузки с винчестера на "поврежденной" машине - "файл не найден", запуск football.pif, аналогично.
Добавлено через 1 минуту
Сообщение от
V_Bond
начнем с того что действуем мы наощупь - без логов , мы подозревали наличие бигля и так действительно оказалось , но возможно что это какаея- то новая модификация или вы не удалили все указанные файлы ...
ает ...
логи Вам обязательно предоставлю, как только получится запустить и выполнить скрипты AVZ и hijackthis.
Последний раз редактировалось graham; 30.04.2008 в 10:36.
Причина: Добавлено
-
Давайте попробуем так, скачайте Combofix по одной из этих ссылок ссылка1, ссылка2, ссылка3 , сохраните его на рабочем столе, запустите файл Combo-Fix.exe После окончания работы Combofix найдите файл С:\ComboFix.txt и прикрипите его к теме.
-
Junior Member
- Вес репутации
- 59
Сообщение от
wise-wistful
Давайте попробуем так, скачайте
Combofix по одной из этих ссылок
ссылка1,
ссылка2,
ссылка3 , сохраните его на рабочем столе, запустите файл Combo-Fix.exe После окончания работы Combofix найдите файл С:\ComboFix.txt и прикрипите его к теме.
Скачал со второй ссылки. Загрузился с винта, скинул с флэшки combofix, запустил. Комп повис и никаких больше действий.
-
Вы не пытались окно с ним закрывать? Попробуйте ещё раз запустить, только запустили и как говориться не дышать на комп, не трогать ни мышу ни клавиатуру.